Меню
RU

Исследования показывают, что расширения могут украсть ваши пароли от сайтов. Стоит ли беспокоиться?

Недавнее исследование университета Висконсин-Мэдисон обнаружило, что «значительный процент» расширений в Chrome — около 12,5% — получает от пользователей разрешение на доступ к их личной информации. Основное внимание в работе уделяется паролям, которые, по словам исследователей, нередко хранятся в открытом виде в исходном коде даже авторитетных сайтов. Эти незащищённые пароли могут стать лёгкой мишенью для вредоносных расширений, охотящихся за данными.

Исследователи обнаружили, что на 15% изученных ими сайтов — и это не какие-то малонеизвестные порталы, а сайты, принадлежащие таким компаниям, как Google и Cloudflare — пароли хранились в виде простого текста в исходном HTML-коде. По мнению исследователей, такое беспечное отношение разработчиков сайтов вкупе с расплывчатыми и зачастую плохо исполняемыми правилами Chrome для разработчиков расширений оставляет злоумышленникам возможность использовать эту уязвимость. В ходе исследования они обнаружили 190 расширений, которые «напрямую обращались к полям паролей», в том числе такие популярные, как AdBlockPlus и Honey — у обоих более 10 млн загрузок.

Выдержка из исследования
Источник

Авторы исследования отметили:

«Анализируя файлы манифеста (файлы в формате JSON, которые содержат важную информацию о возможностях расширения и используемых им файлах), мы обнаружили, что у 12,5% (17,3 тысяч) расширений есть необходимые разрешения для извлечения конфиденциальной информации на всех веб-страницах».

Хотя новая платформа для расширений Google Chrome, Manifest V3, наложила ограничения на возможности расширений, исследователи пришли к выводу, что эти меры не снижают рисков для безопасности в сколько-нибудь значительной степени. Они заявили: «Несмотря на предполагаемые в MV3 улучшения в области защиты личных данных пользователей и безопасности, операции скриптов контента остаются неизменными. Это позволяет расширению загружаться в дерево DOM и получать неограниченный доступ к веб-странице, создавая угрозу безопасности пользователей».

Звучит не очень хорошо, не правда ли? Давайте разберёмся, что к чему.

Это вопрос доверия, как ни крути

Хотя расширения, блокирующие рекламу (как и многие другие), действительно требуют внушительное количество разрешений, это не потому, что они по своей природе стремятся сделать что-то плохое и украсть ваши данные. Просто у них нет другого способа выполнить свою работу. И вам придётся доверять им, если вы хотите, чтобы они делали её правильно.

На самом деле, это далеко не первый случай, когда бьют тревогу из-за того, сколько расширения могут узнать о пользователях из их данных. Эта проблема касается не только Chrome — у расширений для других браузеров (например, Firefox) есть такие же возможности и разрешения. И не только у блокировщиков рекламы: все расширения, которым необходимо изменять содержимое веб-страниц, например, менеджеры паролей и инструменты для повышения продуктивности, требуют широкого доступа к информации на этих веб-страницах. Техническая причина этого — использование в этих расширениях языка программирования JavaScript, который позволяет им читать и преобразовывать HTML-элементы веб-страницы для выполнения своих задач. Например, менеджеры паролей используют JavaScript для вставки паролей и имён пользователей в поля ввода, а инструменты для повышения продуктивности — для блокировки отвлекающих факторов, отслеживания времени, сохранения веб-страниц и т.д. А что же с блокировщиками рекламы?

Блокировщики рекламы используют JavaScript для сканирования веб-страниц в поисках рекламных скриптов и других элементов, соответствующих их списку, чтобы заблокировать их. Это также позволяет им скрывать «остатки рекламы» — пустые места и сломанные элементы, которые могли остаться после блокировки рекламы. Это называется «косметической обработкой».

В описании расширения AdGuard в магазине Chrome Web Browser Store мы стараемся прозрачно объяснить, зачем нам нужны те или иные разрешения.

Разрешения AdGuard

Таким образом, мы объясняем, что нам нужны разрешения на чтение и изменение всех ваших данных на всех сайтах (host permission в Chrome) и доступ к вкладкам (tabs permission) для блокировки рекламы, а также для применения косметических правил, чтобы веб-страницы выглядели чистыми и аккуратными. Кроме того, разрешение webNavigation необходимо нам для того, чтобы поймать момент, когда нужно внедрить блокирующие рекламу скрипты, то есть до того, как на странице загрузится реклама.

Подводя итог, можно сказать, что для работы расширения AdGuard, как и многих других, могут потребоваться дополнительные разрешения. В конечном счёте, только вам решать, достаточно ли вы доверяете их разработчикам и тому, как они обосновывают необходимость этих разрешений, чтобы их предоставлять.

Так стоит ли переживать?

Да, в широком смысле — стоит. Следует быть осторожным и внимательным при установке расширений, которые могут получить доступ к вашим данным на веб-страницах. Даже если вероятность того, что устанавливаемое расширение окажется вредоносным и похитит ваш пароль или банковские реквизиты, хранящиеся в открытом виде в исходном HTML-коде сайта, достаточно мала. С расширением функциональности появляются и дополнительные риски, причём это касается не только браузерных дополнений, но и других сервисов и устройств: взять, к примеру, пылесосы с поддержкой Wi-Fi или современные автомобили с датчиками. Так что, если коротко, вам придётся смириться с тем, что ваша безопасность и конфиденциальность подвергаются большему риску, когда вы позволяете расширению выполнять свои функции, например, блокировать рекламу. Независимо от того, считаете ли вы такой компромисс справедливым или нет, он просто неизбежен.

В 2018 году Mozilla посвятила целый пост в блоге разрешениям расширений, включая «пугающие». В нём она объяснила, почему такие расширения, как блокировщики рекламы, нуждаются в них по объективным причинам, а также указала на риски, связанные с их установкой.

Однако в Firefox отметили, что такие случаи, когда вредоносный разработчик утверждает, что расширение делает одно, а на самом деле оно делает что-то другое, хотя и возможны, но всё же редки.

Блог Mozilla

Источник: Mozilla

Вы можете возразить, что даже «редко» — это иногда слишком часто. И мы с этим полностью согласны — замалчивание этой проблемы не приведёт ни к чему хорошему. Несколько лет назад мы сами разоблачили несколько вредоносных расширений для блокировки рекламы, которые копировали код легитимных расширений и могли как угодно изменять поведение браузера. Тогда мы подсчитали, что от этих поддельных блокировщиков рекламы могли пострадать более 20 млн. человек. Возникает животрепещущий вопрос: что сделать, чтобы разрешать расширению видеть все ваши действия в браузере было не так страшно?

Вот чеклист, которому должно соответствовать расширение, чтобы считаться безопасным в наших глазах:

  • Автор расширения чётко указан, у него есть физический адрес, и, в идеале, он работает в этой отрасли уже много лет

  • Политика конфиденциальности присутствует и понятна для пользователя

  • Причины запроса разрешений чётко указаны и соответствуют целям расширения

  • У расширения открытый исходный код: можно посмотреть список всех коммитов, и он всегда доступен (например, расширение блокировщика рекламы AdGuard для Chrome бесплатное и общедоступное)

  • Разработчик поддерживает онлайн-присутствие, с ним можно легко связаться (через социальные сети, сайт или специальную службу поддержки), и он своевременно отвечает на вопросы

  • У расширения положительные оценки и хорошие отзывы. Хотя это не железная гарантия безопасности, поскольку отзывы могут быть подделаны ботами или оставлены не очень любознательными случайными пользователями, которые оценили факт работы расширения и не стали смотреть глубже — но это уже другая история

Понравился пост?
25 764 25764 отзыва
Отлично!

AdGuard для Windows

AdGuard для Windows — это не просто «ещё один блокировщик». Это многоцелевой инструмент, который блокирует рекламу и доступ к опасным сайтам, ускоряет загрузку страниц и защищает детей от взрослого контента.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 764 25764 отзыва
Отлично!

AdGuard для Mac

В отличие от других блокировщиков, AdGuard разработан с учётом специфики операционной системы macOS. Он не только блокирует рекламу в Safari и других браузерах, но и защищает вас от слежки, фишинга и мошенничества в сети.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 764 25764 отзыва
Отлично!

AdGuard для Android

AdGuard для Android — это идеальное решение для Android-устройств. В отличие от других блокировщиков, AdGuard не требует root-доступа и позволяет управлять трафиком любых приложений на вашем устройстве.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 764 25764 отзыва
Отлично!

AdGuard для iOS

Лучший блокировщик рекламы для iPhone и iPad. AdGuard устраняет рекламу в Safari, защищает ваши данные и ускоряет загрузку страниц. AdGuard для iOS использует новейшую технологию блокировки, которая обеспечивает непревзойденное качество фильтрации и позволяет применять множество различных фильтров одновременно
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 764 25764 отзыва
Отлично!

AdGuard Content Blocker

AdGuard Content Blocker устраняет все объявления в мобильных браузерах, которые поддерживают технологию блокировки контента — к примеру, Samsung Internet и Яндекс.Браузер. Он обладает меньшим количеством функций, чем AdGuard для Android, но при этом бесплатен, прост в установке и по-прежнему обеспечивает высокое качество блокировки рекламы.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 764 25764 отзыва
Отлично!

Браузерное расширение AdGuard

AdGuard — самое быстрое и легкое браузерное расширение для блокировки всех типов рекламы! Выбирайте AdGuard для быстрого и безопасного серфинга без рекламы.
25 764 25764 отзыва
Отлично!

Помощник AdGuard

Дополнительное браузерное расширение для десктопных приложений AdGuard. Даёт доступ к таким функциям в браузере, как блокировка отдельных элементов, занесение сайта в белый список или отправление отчёта.
25 764 25764 отзыва
Отлично!

AdGuard DNS

AdGuard DNS – это альтернативный способ заблокировать рекламу, защитить личные данные и оградить детей от взрослых материалов. Он прост в настройке и использовании и обеспечивает необходимый минимум защиты от рекламы, трекинга и фишинга, независимо от платформы.
25 764 25764 отзыва
Отлично!

AdGuard Home

AdGuard Home — мощный сетевой инструмент против рекламы и трекинга. С усилением роли интернета вещей становится все более и более важным управлять всей вашей сетью. После настройки AdGuard Home будет охватывать ВСЕ ваши домашние устройства и для этого вам не понадобится программное обеспечение на стороне клиента.
25 764 25764 отзыва
Отлично!

AdGuard Pro для iOS

AdGuard Pro предлагает гораздо больше чем просто блокировку рекламы в Safari, которая есть в обычной версии. С помощью специальных настроек DNS вы сможете блокировать больше рекламы, защитить ваши личные данные и оградить детей от взрослого контента.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 764 25764 отзыва
Отлично!

AdGuard для Safari

Расширения, блокирующие рекламу в Safari, переживают не лучшие времена с тех пор, как компания Apple вынудила всех использовать новый SDK. Познакомьтесь с нашим легко настраиваемым и молниеносным приложением!
25 764 25764 отзыва
Отлично!

AdGuard Temp Mail

Ваш временный почтовый ящик, чтобы на основную почту не приходил спам
25 764 25764 отзыва
Отлично!

AdGuard для Android TV

AdGuard для Android TV — единственное приложение, которое блокирует рекламу, защищает ваши данные и действует как фаервол для Smart TV. Получайте предупреждения о веб-угрозах, используйте безопасный DNS, а ваш трафик будет зашифрован. Смотрите любимые сериалы безопасно и без рекламы!
Загрузка AdGuard началась Стрелка указывает на файл: нажмите на него, и установка начнётся Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне перетащите значок AdGuard в папку «Приложения». Спасибо за выбор AdGuard! Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне нажмите «Установить». Спасибо за выбор AdGuard!
AdGuard есть и в мобильном варианте